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"Procede de cryptographie mis en oeuvre entre deux entites echangeant 

des informations" 



L'invention se rapporte a un procede de cryptographie mis en oeuvre entre 
deux entites echangeant des informations a travers un canal de communication 
non securise, par exemple un reseau cable ou hertzien et permettant d'assurer 
la confidentiaiite et I'integrite des transferts d'informations entre ces deux entites. 
5 L'invention concerne plus particulierement un perfectionnement aux 
cryptosystemes mettant en oeuvre des calculs sur une courbe elliptique. Le 
perfectionnement permet principalement de reduire les temps de calcul. 

On connaTt un protocole de cryptographie. plus particulierement utilise 
pour realiser un echange de clefs securise entre deux entites. II est connu sous 
10 I'appellation "Echange de Clefs de Diffie-Hellmann" ou "ECDH". Sa mise en 
oeuvre necessite rutilisation d"un groupe au sens mathematique du terme. Une 
courbe elliptique du type : 

y^ +xy = x^ + ax^+p 
peut constituer un groupe utilisable dans un tel procede ; 
15 On sait que si P= (x.y) appartient a la courbe elliptique E. on peut definir 

un "produit" ou "multiplication scalaire " du point P de E par un entier m. Cette 
operation est definie comme suit : 

[m] P = P + P + P ....+ P (m fois) 
On sait que dans un algorithme du type "ECDH". on utilise la multiplication 
20 par 2 d'un point P choisi d'une telle courbe elliptique. Cette operation s'appelle 
"doublement de point" et s'inscrit dans un processus iteratif de doublement-et- 
addition. Une telle multiplication par 2 requiert du temps. 

La partie la plus lente du protocole d'Echange de CI6s de Diffie-Hellman 
(ECDH) est la multiplication d'un point de la courbe non connu a I'avance par un 
25 scalaire aleatoire. On ne considere ici que les courbes elliptiques definies sur un 
corps de caracteristique 2 ; c'est un choix repandu pour les implementations, car 
['addition dans un tel corps correspond a Toperation '"ou exclusif. 

II est connu que la multiplication par un scalaire peut etre acceleree pour 
les courbes definies sur un corps de faible cardinalite en utilisant le morphisme 
d e Frob e nius. On pout chois i r l os courbos do sorte qu'aucun e d e s attaqu e s 
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connues ne s'applique a elles. Cependant, il est evidemment preferable, au 
moins sur le plan du principe, de pouvoir choisir la courbe que Ton veut utiliser 
dans une classe de courbes aussi generale que possible. La methode decrite 
dans rinvention s'applique, dans sa version la plus rapide, a la moitie des 
5 courbes elliptiques. De plus, d'un point de vue cryptographique, cette moitie est 
la meilleure. Avant de donner le principe de la methode, on rappelle les concepts 
de base. 

Soit n un entier donne, F„, le corps de 2" elements, et F,„ sa cloture 
algebrique. Soit O le point a I'infini. On appelle courbe elliptique E non 
10 supersinguliere definie sur F„, I'ensemble : 

E = {(x.y)e i^X Cly^ + xy = x^ + «x2+p}^{0} a. peF2". P^O 

Les elements de E sont habituellement appeles "points". II est bien connu 
que E peut etre dote d'une structure de groupe abelien en prenant le point a 
I'infini comme element neutre. Dans ce qui suit, on considere le sous-groupe fini 
15 des points rationnels de E, defini par : 

E( F„ ) = {(x,y)e F,„ X F,„ + xy = + ax^ + P} ^ {O} a, p e F2". P ^ 0 
N etant I'ensemble des entiers naturels. pour tout m N, on definit dans E 
I'application "multiplication par m" par : 
[m] : E -»E 

20 P^P + + P(mfois)et VPeE:[o]P=0 

On note E[m] le noyau de cette application. Les points du groupe E[m] 
sont appeles les points de m-torsion de E. La structure de groupe des points de 
m-torsion est bien connue. 

En se limitant au cas ou m est une puissance de 2, on a : 
25 Vke N:E[2'']sZ/2'Z 

ou Z est I'ensemble des entiers relatifs. 

Comme E(F,„ ) est un sous-groupe fini de E, il existe k' >1 tel que E [2"] 

est contenu dans E(F,„ ) si et seulement si k < k'. Si on se limite aux courbes 
elliptiques E pour lesquelles k'=1, la structure de E(F,„ ) est : 
30 E(F,„) = Gx{0, T2} 
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ou G est un groupe d'ordre impair et T2designe le point unique d'ordre 2 de E. 
On dit qu*une telle courbe a una 2- torsion mininnale. 

On est maintenant en mesure d'expliquer le but de Tinvehtion. La 
multiplication par deux, n'est pas injective iorsqu'elle est definie sur E ou E(F,„ ), 
car elle a pour noyau : E[2] ={ O, T2}. 

Par ailleurs, si on reduit le domaine de definition de la multiplication par 2 
a un sous-groupe d'ordre impair G a E(F,„), la multiplication par 2 devient 
bijective. 

II en resulte que la multiplication par 2 admet sur ce sous-groupe une 
application inverse que nous appellerons division par 2 : 

[1/2]: G^G 

Q tel que : [2]Q = P 
On note [1/2] P le point de G auquel Tapplication de doublement fait 
correspondre le point P. 
Pour tout k> 1 . on ecrit : 



" 1 ' 




T 




"r 




T 


-2'. 






0 




0 0 






.2. 




.2. 




_2_ 



Pour representer k compositions de Tapplication de division par 2 avec 
elle-meme. 

De fagon generale Tinvention concerne done un procede de cryptographie 
mis en oeuvre entre deux entites echangeant des informations a travers un canal 
de communication non securise, du type comprenant au moins une phase 
operatoire consistant a multiplier un point d'ordre impair d'une courbe elliptique 
non supersinguliere par un entier, caracterise en ce qu'une telle phase 
operatoire comprend des additions et des divisions par deux de points de ladite 
courbe elliptique; ou Taddition de points est une operation connue. et la division 
par deux d'un point P est definie comme le point unique D d'ordre innpair tel que 

^ P . et Toperation de division par 2 : 



[2]D=P. un tel point etant note 



^application de division par 2 est interessante pour la multiplication 
scalaire d'un point d'une courbe elliptique pour la raison suivante : si Ton travaille 
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en coordonnees affines, il est possible de remplacer toutes les multiplications de 
point par 2 d'une multiplication scalaire par des divisions de point par 2. 

La division par 2 d*un point est bien plus rapide a calculer que sa 
multiplication par 2. D*un point de vue cryptographique. il est bon d'avoir a choisir 
5 parmi le plus grand nombre de courbes possible, et on a coutume d'utiliser una 
courbe pour laquelle la 2-torsion de E(F,.. ) est minimale ou isomorphique a Z/4Z. 
Pour un corps F,„ donne, les courbes elliptiques de 2-torsion minimale 
constituent exactement la moitie de Tensemble des courbes elliptiques definies 
sur F^.. C'est pourquoi, bien qu'elle ne soit pas totalement generale. la methode 
10 decrite s'applique, dans sa version la plus rapide. a une bonne partie des 
courbes interessantes en cryptographie. Elle est toujours applicable dans le cas 
ou les elements du corps sont representes dans une base normale. Dans le cas 
d'une base polynomiale, 1 'espace memoire requis est de Tordre de O(n^) bits. 

On va montrer comment calculer [1/2] P € G a partir de P e G. Puis on 
15 montrera comment remplacer les doublements de points par des divisions par 2 
pour executer une multiplication par un scalaire. 

On utilisera la representation affine habituelle d'un point : P=(x.y) et la 
representation : (x. ) avec =x+y / x 

On tire de la deuxieme representation y = x (x + \) qui n'utilise qu'une 

20 multiplication. 

En procedant ainsi, pour multiplier un point par un scalaire, on economise 
les multiplications en calculant les resultats intermediaires a Taide de la 
representation (x, X^) et on ne determine la coordonnee de la representation 

affine qu'en fin de calcul. 
25 La division par deux d'un point P s'obtient de la fagon suivante : 

Soit a calculer [1/2] P a partir de P. On considere pour cela les deux points de 

E : 

p = (x,y) = (X, X (X + \ )) 

et Q = (u,v) = (u. u (u + /.q)) 
30 tels que : [2]Q= P 

Les formules de multiplication par 2 connues donnent 
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A Q = u + v/u (1) 
X = A a (2) 

y = (x+u) Q + X + V (3) 
Multipliant (1) par u et reportant la valeur de v ainsi obtenue dans (3). ce 
5 systeme devient : 

V = u (u +/1 q) 

Q^ + ^. Q= a + X 
y = (X + u) ;i Q +x + + u A Q = X ( /. Q + 1 ) 
ou, puisque y = x ( x + /.^ ) : 
10 ;L +/1 Q= a + X (i) 

u^ = (x (A Q+1) + y = (/l Q+ ?.p + x + 1) (ii) 

V = u (u + A q) (iii) 

En partant de P = (x,y) = (x, x (x + )) en coordonnees affines ou en 

representation (x. ). ce systeme d'equations determine les deux points : 
15 [1/2] P eG et[1[/2] P + T2€ E(F,.. )\G 

qui donnent P par multiplication par 2. La propriete qui suit permet de la 
distinguer. 

Soit E une courbe elliptique a 2-torsion minimale. et 
P e E(F^;. ) = G X {O. T2} Tun de ses elements d'ordre impair. 
20 Soit Q e{[1/2] P. [1/2] P+ T2} et Qi Tun des deux points de E tels que [2]Qi= Q. 
On a la condition necessaire et suffisante : 

Q + [1/2]Pc:>Qi e E(F,,. ) (a) 

On en deduit qu'il est possible de tester si Q = [1/2] P en appliquant les 
formules (i), (ii) et (iii) a Q et en verifiant si Tun de points obtenus appartient a 

25 E(F,, ). 

Ce precede peut etre etendu a une courbe elliptique 
arbitraire E (F^„ ) = G x E [2"]. Pour cela on applique k fois les formules (i). (ii) et 

(iii) : la 1^'® fois a Q, pour obtenir d, tel que [2] Qi = Q; la ieme fois a Q \.^ pour 
obtenir un point Qj, tel que [2] Qi = Q i.i. Le point resultat Qk sera de la forme 
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1 



k -r 1 



2 
1 



P-f T,,., si et seulement si Q = [1/2]P + T2et il sera de la forme 



P + T,, avec 0 < i <k si et seulement si Q = [1/2]P. On a done la 



condition necessaire et suffisante : 

Q = [1/2]P<:^QKe E(F^J 

5 Ce procede est evidemment long si k est grand. 

La relation (a) montre que I'on peut savoir si Q = [1/2]P ou Q = [1/2]P + T2 
en regardant si les coordonnees de Qi, appartiennent a F^,. ou a un sur-corps de 
F^.. . Comme Qi est determine par les equations (i), (ii) et (iii), nous avons a 
etudier les operations utilisees dans la resolution de ces equations qui ne sont 
10 pas internes au corps, mais ont leur resultat dans un sur-corps de F^., . Le seul 
cas possible est celui de la resolution de Inequation du 2"^. degre (1) ; on doit 
aussi calcuier une racine carree pour calculer la 1^"^® coordonnee de Qi, mais en 
caracteristique 2 la racine carree est une operation interne au corps. On a done : 
Q = (u. V) = [1 /2] P € F^.. : A ^ + ;L = a + u 

15 Cette condition necessaire et suffisante s'ecrit aussi. puisque la racine 

carree est interne au corps : 

Q = (u. V) =[1/2] P c:> 3;i G F,,. : ;. = a^ + u^ 

La relation precedente permet d'optimiser ralgorithme enonce ci-dessous 
dans les cas ou le temps de calcul de la racine carree n'est pas negligeable. 
20 Pour P gG, les 2 solutions de (i) sont A [i/2]p et A[^/2]p-^ 1, et on deduit de 

(ii) que les leres coordonnees des points associes sont u et (u + ). On peut 
done en deduire un algorithme permettant de calculer [1/2]P de la fagon 
suivante : 

Si F,.. est un corps fini de 2" elements, E (F,., ) est le sous-groupe d'une 
25 courbe elliptique E. defini par : 

E(F^J = {(x,y)e F^.. X F^., ly^ + xy = + ax^ + fi} U {O} a, (3 € F^.. . (i ;^ O , 

et £[2*"] est I'ensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 ^ fois a lui meme donne I'element neutre O avec k entier superieur 
ou egal a 1, alors, un point P = (x,y) de ladite courbe elliptique donne par ladite 
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division par deux le point 



P= (Uo, Vo) de ladite courbe elliptique, obtenu en 



effectuant les operations suivantes : 

• on cherche une premiere valeur A o telle que /.o^ + ko = a + x 

• on calcule une seconde valeur Uo^ telle que Uo^ = x (ko + 1 ) + y 

• si k vaut 1, on cherche si Tequation : A a des solutions dans 

• dans Taffirmative on calcule ladite division par deux par : 

Vo = Uo (Uo + Ao) 



et 



P = (Uo. Vo) 



• dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 
ladite premiere valeur ko pour calculer ladite division par deux comme dans 
Toperation precedente; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur i , telle que + k\ = a U\.^ 

puis calculer la valeur u^j telle que u^j = Uj.-i {k\ + k\.^ + Uj.i +1 ) 
en incrementant i a partir de 1=1 jusqu'a obtenir la valeur u k-i ^ 

• on cherche si Tequation 7J^ + k = o? + u^k-i a des solutions dans F^.. 

• dans Taffirmative on calcule ladite division par deux par : 



et 



Vo = Uo (Uo + K) 
P = (Uo, Vo) 



• dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 
ladite premiere valeur k,, pour calculer ladite division par deux comme dans 
Toperation precedente. 
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Si on choisit de representer le point 



P = (Uo. Vo) de la courbe elliptique 



par (Uo.,Xo) avec /.o= Uo + Vo/y, alors Talgorithme devient : 

o on cherche une premiere valeur Xo telle que + a,, = a + x 

o on calcule une seconde valeur Uo^ telle que : Uo^ = x 1 )+ y. 

o si k vaut 1, on cherche si Tequation : //o + a., =a" -hiro a des solutions dans 

o dans Taffirmative on calcule ladite division par deux par : 



et : 



P = (Uo, Ao) 



o dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 
ladite premiere valeur pour calculer ladite division par deux comme dans 
Toperation precedente ; 

o si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur/l , , telle queAj^ + K\ = a + 
puis calculer la valeur Uj^ telle que Ui^ = um (Xj + K\.^ + Um +1 ) 
en incrementant i a partir de i = ljusqu'a obtenir la valeur u^ k-i 
G on cherche si ['equation }} + X = + u Vi a des solutions dans F^.. 

o dans Taffirmative on calcule ladite division par deux par : 



et 



P = (Uo, / o) 



© dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 
ladite premiere valeur Xo pour calculer ladite division par deux comme dans 
Toperation precedente. 

Si on choisit de representer le point P = (x,y) par ( x, a p) en posant A p = 



x+y/x qui donne par ladite division par deux le point 
courbe elliptique alors Talgorithme devient : 



P = (Uo.Vo) de ladite 
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on cherche une premiere valeur x o telle que + Xo = a + x 

on calcule une seconde valeur telle que Uo^ = x (a,, + /.p + x + 1 ) 

si k vaut 1, on cherche si Tequation : A =a^+Uo^ a des solutions dans 

dans Taffirmative on calcule ladite division par deux par : 



Vo = Uo (Uo + Xo) 

P = (Uo, Vo) 



et 



• dans la negative, on ajoute x a ladite deuxieme valeur Uo et on ajoute 1 a 
10 ladite premiere valeur pour calculer ladite division par deux comme dans 

Toperation precedente; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistent a : 
chercher une valeur>;i j , telle que A j ^ + = a + u^ 

puis calculer la valeur u^j telle que u^i = Uj.i (X.i + + Uj.-i +1) 
15 en incrementant 1 a partir de i=1 jusqu'a obtenir la valeur u^ k-i 

• on cherche si Tequation + = + u^k-i a des solutions dans F^,. 

• dans Taffirmative on calcule ladite division par deux par : 



Vo = Uo (Uo + K) 



20 et 



P = (Uo, Vo) 



• dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 
ladite premiere valeur /,o pour calculer ladite division par deux comme dans 
■'operation precedente. 

Enfin, si on choisit de representer le point P= (x,y) par (x, Ap) avec 



25 Ap = X + y/x qui donne par ladite division par deux le point 



P = (Uo. Vo) de la 



courbe elliptique represente par (Uo, Xo) avec = Uo + vq/uq alors Talgorithme 
devient : 
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o on cherche une premiere valeur x o telle que + = a + x 

o on calcule une seconde valeur Uo^ telle que Uo^ = x {K, + x + 1), 

o si k vaut 1, on cherche si I'equation : x =a^-^u/ a des solutions dans 

o dans Taffirmative on calcule ladite division par deux par : - 



et 



P = (Uo. /.o) 



o dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 
ladite prenniere valeur k,, pour calculer ladite division par deux comme dans 
1 0 Toperation precedente ; 

o si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur/Lj, telle queAi^ + k\ = a + Uj.i 
puis calculer la valeur u^i telle que u i ^ = Um {X\ + + Um +1 ) 



en Incrementant i a partir de i=1 jusqu'a obtenir la valeur u 



2 



k-1 



15 o on cherche si Tequation + = + u^ k-i a des solutions dans F,,. 
o dans raffirmative on calcule ladite division par deux par : 



et 



P = (Uo. Ao) 



20 o dans la negative, on ajoute x a ladite deuxienne valeur Uo^ et on ajoute 1 a 

ladite prenniere valeur Ao pour calculer ladite division par deux connme dans 

Toperation precedente. 

On va nnaintenant decrire connment effectuer rapidement le test, la 

resolution de Tequation du second degre, et le calcul de la racine carree dans 
25 I'algorithme de division d'un point par 2. On considerera les deux cas en base 

nornnale et polynomiale. 
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Les resultats en base normale sont connus. On peut considerer F„. 

comme espace vectorie! a n dimensions sur R . Dans une base normale, un 
element du corps est represents par : 

i=0 

5 ou peF,.. est choisi tel que : |3,p-,...,p'""' } est une base F,.. . Dans une base 
normale. la racine carree se calcule par un decalage circulaire gauche, et 
Televation au carre par un decalage circulaire droit. Les temps de calcul 
correspondants sont done negligeables. 

Si Tequation du second degre : ^ k = x a ses solutions dans F^.. , une 

10 solution est alors donnee par : 

n-I i 

X= p^' avec : A i = 2^ Xi 1 < i < n - 1 

i=l k=I 

Le temps de calcul de A est negligeable devant le temps de calcul d'une 
multiplication ou d'une inversion dans le corps. Comme le temps de calcul d'une 
solution de Tequation du second degre est negligeable. on peut effectuer le test 
15 de la maniere suivante : calculer un candidat A a partir de x et tester si A ^ + A = 
X. Si ce n'est pas le cas. Tequation n*a pas de solution dans F^„ . 

En base polynomiale, on utilise la representation : 

X = ^^XjT' avec Xi 6{0.1}. La racine carree de x peut etre calculee en stockant 

i =ti 

Telement Vt si Ton remarque que : 
20 - dans un corps de caracteristique 2. la racine carree est un morphisme 

du corps, 



\j p:iir ' pair ' 

Regroupant dans x les puissances paires et impaires de T et prenant la 
racine carree. il vient : 

25 v7=x ^7-^^-vr z.-^.^"^ 

i pair i impair 

ainsi, pour calculer une racine carree. 11 suffit de "reduire" deux vecteurs de 
moitie. et d'executer ensuite une multiplication d'une valeur precalculee par un 




25 
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element de longueur n/2. Cast pourquoi le temps de calcul d'une racine carree 
dans une base polynomiale est equivalent a la moitie du temps de calcul d'une 
multiplication dans le corps. 

Pour le test et la resolution de I'equation du second degre, considerons 
comme un espace vectoriel a n dimensions sur F, . L'application F definie 

par : 

F : F,- ^ F;„ 

. 2 



est alors un operateur lineaire de noyau {0, 1} 
10 Pour un x donne, I'equation: /^^ + ^ = x a ses solutions dans F^„ si et 

seulement si le vecteur x est dans I'image de F. Im(F) est un sous-espace de F,.. 

a n -1 dimensions. Pour une base donnee de F,., , et le produit scalaire 

correspondant, il existe un seul vecteur non trivial orthogonal a tous les vecteurs 

de Im(F). Soit w ce vecteur. On a : 
15 3?^ G F." : /.^ = X <z> X • w = 0 

Ainsi I'execution du test peut se faire en additionnant les composantes de 

X auxquelles correspondent des composantes de w egales a 1. Le temps 

d'execution de ce test est negligeabie. 

Pour la resolution de I'equation du 2""* .degre : F{x) = + X = x dans une 
20 base polynomiale, on propose une methode simple et directe imposant le 

stockage d'une matrice n x n. Pour cela, on cherche un operateur lineaire G tel 

que : 

VxeIm(F):F(G(x)) = (G(x))' + G(x) = x 
Soit 7 ^ F^.. un vecteur tel que Y eIm(F)et definissons G par: 

G = F-' avec f(v)= J y si : i = 0 

\ f(t) si: l<i<n-l 

Etant donne -v = ^"''.v^f fr') e lm(F) alors G(x) est solution de Tequation 

du 2"^ degre. Une implementation consiste a precalculer la matrice representant 

G dans la base {1,T. T"'"*}. En caracteristique 2, la multiplication d*une 

matrice par un vecteur se reduit a Taddition des colonnes de la matrice 
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auxquelles correspondent un composante du vecteur egale a 1. II s'ensuit que 
cette methode de resolution d*une equation du 2"^ degre consomme en moyenne 
n/2 additions dans le corps F^,. . 

On decrit ci-dessous Tapplication des principes exposes a la multiplication 
5 scalaire 

Soient P e E (F,„) un point d'ordre r impair, c un entier aleatoire et m la 

partie entiere de log2 (r). Calculons le produit [c]P d'un point par un scalaire en 
utilisant I'application de division d'un point par 2. 
On demontre que : 

10 Pour tout entier c; il existe un nombre rationnel de la forme : 



Zf7 '^.HO,.} 

1 = 0 ^ 



tel que 



-Z^ (modr) 

i = 0 ^ 



Soit <P> le groupe cyclique genere par P. Comme on a risomorphisme 
15 d'anneaux: 

P = Z/rZ 
[k]P k 

On peut calculer la nnultiplication scalaire par: 



2 



[c]P = Z 

20 en utilisant des divisions par 2 et des additions. L'algorithme bien connu de 
doublement-addition peut etre utilise pour ces calculs. II suffit pour cela de 
remplacer dans Talgorithme les doublements par des divisions par 2. II faut 
executer log2 (r) divisions par 2 et, en moyenne, 1/2 loga (r) additions. II existe 
des ameliorations a Talgorithme de doublement-addition qui ne demandent que 

25 1/3 log2 (r) additions en moyenne. 

Par consequent une multiplication scalaire precitee utilisant une division 
par deux telle que definie ci-dessus est obtenue par les operations suivantes : 
- si ledit scalaire de la multiplication est note S, on choisit m+1 valeurs 
So... Sm G {0,1} pour definir S par ; 
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r + 1 ^ 



S = S S 

i = 0 

- r etant I'ordre impair precite et m etant rentier unique compris entre 
log2(r) -1 et log2(r), 

- on calcuie la multiplication scalaire [S]P d'un point P de ladite courbe 
elliptique par le scalaire S par application d'un algorithme consistant a 
determiner la suite de points (Qm+i, Qm..., Qi-.-. Qo) de ladite courbe elliptique E 
telle que : 

Qm+1 = O (element neutre) 



Qi = [Si]P 



Q j + 1 avec o < i < m 



Pour additionner le point P initial a un resultat intermediaire Q= 



Qi. on 



10 - le calcul du dernier point Qo de ladite suite donnant le resultat [S] P de 

ladite multiplication scalaire. 

utilise Talgorithme suivant. qui est I'algorithme traditionnel, legerement modifie: 

Entree: P = (x.y) en coordonnees affines et Q = (u. u(u + >.q )) represents 
15 par (u. Xq) 

Sortie: P + Q = (s, t) en coordonnees affines 

algorithme: 



1. Calculer: X = 



y + u(u + >.Q) 



X + n 

2. Calculer: s = /u" +A-ha + x + u 

20 3. Calculer: t = (s + x)/. h-s + y 
4. Resultat: (s. t) 

Cet algorithme utilise 1 inversion, 3 multiplications, et 1 racine carree. 
Le gain de temps obtenu en remplagant les operations de multiplication 
par 2 par des divisions par 2 est important. En coordonnees affines. la 

25 multiplication par 2 et Taddition demandent toutes deux: une inversion, deux 
multiplications, et une racine carree. Si le scalaire de la multiplication par un 
scalaire est represents par un vecteur de bits de longueur m et de k 
composantes non nulles, les operations pour la multiplication scalaire 

demandent ; 



15 



UjJd Cl IIWI 1 


doublement et addition 


Division par 2 et addition 


inversions 


m +- k 


k 


multiplications 


2m + 2k 


m + 3k 


Carres 


m + k 


k 


resolution X^+>.=a+x 


0 


m 


racines carrees 


0 


m 


tests 


0 


m 



Ainsi, en utilisant la division par 2, on economise m inversions, m-k 
multiplications, et m carres, au prix de m resolutions du 2"'^.degre, m racines 
5 carrees et m tests. 

En base polynomiale, on peut obtenir une amelioration en temps 

d'execution voisine de 50%. 

En base normale, on estime le temps de calcul de la racine carree. du test 

et de la resolution d'equation du 2""^. degre negligeable devant le temps de calcul 
10 d'une multiplication ou d'une inversion. En supposant en outre que le temps de 

calcul d'une inversion est equivalent au temps de calcul de 3 multiplications, on 

arrive a une amelioration du temps d'execution de 55%. 

La figure unique illustre schematiquement une application possible des 

algorithmes decrits ci-dessus, mis en oeuvre entre deux entites A et B 
15 echangeant des informations a travers un canal de communication non securise. 

En I'occurrence, ici I'entite A est une carte a microcircuit et Tentite B est une 

sen^eur distant. Une fois mis en relation I'une avec Tautre par ledit canal de 

communication, les deux entites vont appliquer un protocole de construction 

d'une clef commune. Pour ce faire : 
20 - Tentite A possede une clef secrete a 

- I*entite B possede une clef secrete b 

Elles doivent elaborer une clef secrete x connue d'elles seules. a partir 
d'une clef publique constitute par un point P d'ordre impair r d'une courbe 
elliptique E choisie et non supersinguliere. 
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Le protocole mis en oeuvre est du type de Diffie-Hellman en remplagant 
les "multiplications par deux " habituelies dites doublements de point par 
['operation dite de "division par deux", selon I'invention decrite ci-dessus. 

Pour ce faire, Talgorithme est le suivant : 
5 - la premiere entite (par exemple A) calcule la multiplication scalaire [a]P 

et envoie le point resultat a la seconds entite, 

- la seconde entite (B) calcule la multiplication scalaire [b]P et envoie le 
point resultat a la premiere entite, 

- les deux entites calculent respectivement un point commun (C) = (x,y) de 
10 ladite courbe elliptique (E) en effectuant respectivement les multiplications 

scalaires [a] ([b]P) et [b] ([a]P), toutes deux egales a [a.b]P. 0 

- les deux entites choisissent comme clef commune la coordonnee x dudit 
point commun (C) obtenu par ladite multiplication scalaire [a.b]P, au moins I'une 
des multiplications scalaires precedentes, et de preference toutes, etant 

1 5 effectuee a I'aide de divisions par deux predefinies. 

Une autre application possible mettant en jeu I'invention est susceptible 
d'etre mise en oeuvre entre deux entites A et B. II s'agit d'un protocole de 
signature d'un message M transmis entre A et B via un canal non securise. Le 
but de ce protocole, connu dans ses grandes lignes, est d'apporter la certitude 

20 que le message regu par I'une des entites a bien ete emis par celle avec laquelle 
elle correspond. 

Pour ce faire, I'entite emettrlce (par exemple A) possede deux clefs ^ 
permanentes. I'une secrete et I'autre publique. Une autre clef publique est 
constituee par un point P d'ordre impair r d'une courbe elliptique E choisie. non 
25 supersinguliere. Les operations mises en jeu impliquent des divisions par deux, 
au sens defini ci-dessus. 

Selon un exemple possible : 

- la premiere entite (A) possedant ladite paire de clefs permanentes 
construit une paire de clefs a utilisation unique, I'une (g) etant choisie 

30 arbitrairement et I'autre, [g] P resultant d'une multiplication scalaire de ladite clef 
(g) choisie arbitrairement par le point P public de ladite courbe elliptique, les 
coordonnees de cette clef1([g]P) etant notees (x,y) avec 2 < g < r-2. 
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- la premiere entite (A) convertit le polynome x de ladite clef a utilisation 
unique [g]P = (x,y) en un entier i dont la valeur binaire est representee par la 
sequence des coefficients binaires dudit polynome x, 

- ladite premiere entite (A) calcule une signature (c,d) du message (M) de 
la fagon suivante : 

c = i modulo r 

d = g"'' (M + ac) modulo r, 

- ladite premiere entite envoie ledit message (M) et ladite signature (c, d) 
a la seconde entite ; a reception 

- ladite seconde entite (B) verifie si les elements de ladite signature (c,d) 
appartiennent chacun a I'intervalle [1, r-1], 

- dans la negative, declare la signature non valide et stoppe 

- dans I'affirmative, ladite seconde entite (B) calcule trois parametres : 
h = d"'' modulo r 
hi = Mh modulo r 
h2 - ch modulo r 

- ladite seconde entite calcule un point T de ladite courbe eltiptique par la 
somme des multiplications scalaires des points P et Q par les deux derniers 
parametres cites : 

T = [hi] P + [h2] Q 

si le point resultant T est Telement neutre, ladite seconde entite declare la 
signature non valide et stoppe. 

sinon. considerant le point T de coordonnees x' et y' : T = (x'.y'), 

- ladite seconde entite (B) convertit le polynome x' de ce point en un entier 
i' dont la valeur binaire est representee par la sequence des coefficients binaires 
dudit polynome x*. 

- ladite seconde entite (B) calcule c' = i' modulo r et, 

- verifie que c' = c pour valider ladite signature ou I'invalider dans le cas 
contraire, au moins une operation de multiplication scalaire precitee et, de 
preference toutes, etant effectuee a Taide de divisions par deux predefinies. 
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REVENDICATIONS 

1. Procede de cryptographie mis en CBuvre entre deux entites echangeant 
des informations a travers un canal de communication non securise. du type 
comprenant au moins une phase operatoire consistant a multiplier un point 
d'ordre impair d'une courbe elliptique non supersinguliere par un entier, 
caracterise en ce qu'une telle phase operatoire comprend des additions et des 
divisions par deux de points de ladite courbe elliptique ou Taddition de points est 
une operation connue, et la division par deux d'un point P est definie comme le 



point unique D d'ordre impair tel que [2]D = P, un tel point etant note 



P. et 



Toperation de division par 2 

10 2. Procede selon la revendication 1, ou F^,. est un corps fini de 2" 

elements, E(F^,. ) est le sous-groupe d'une courbe elliptique E, defini par : 

E(F2") = {(x,y)e F2" X F2" |y^ + xy = x^ + ax^ + |3} {O} a, p e F2", P ^ 0 
et E[2^] est Tensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 ^ fois a lui-meme donne Teiement neutre O, avec k entier superieur 

15 ou egal a 1, caracterise en ce qu'un point P =(x.y) de ladite courbe elliptique 

P = (Uo,Vo) de ladite courbe 



donne par ladite division par deux le point 



elliptique, obtenu en effectuant les operations suivantes : 
o on cherche une premiere valeur Ao telle que + ?-o = a + x 
o on calcule une seconde valeur Uq^ telle que Uo^ = x (Ao 1 ) + V 
20 G si k vaut 1. on cherche si I'equation : =a^+u^o a des solutions dans 

o dans Taffirmative on calcule ladite division par deux par : 



Vo = Uo (Uo + K) 



25 et j p = (Uo,Vo) 



19 

2 



• dans la negative, on ajoute x a ladite deuxieme valeur Uo et on ajoute 1 a 
ladite premiere valeur pour calculer ladite division par deux comme dans 
I'operation precedente; 

• si k est plus grand que 1 , on effectue un catcul iteratif consistant a : 
chercher une valeur A i , telle que /I j ^ + /.| = a + ui.i 

puis calculer la valeur u^i telle que u^i = Uj-i {'/., + am + um +1) 
en incrementant i a partir de i = 1 jusqu'a obtenir la valeur u^ k-i 

• on cherche si I'equation + /. = + u^ k-i a des solutions dans F2" 

• dans I'affirmative on calcule ladite division par deux par : 



Vo = Uo (Uo + >hO 

P = (Uo, v„) 



et 



• dans la negative, on ajoute x a ladite deuxienne valeur u,, et on ajoute 1 a 
ladite premiere valeur X„ pour calculer ladite division par deux comme dans 
I'operation precedente. 

3. Precede selon la revendication 1 ou : F2" est un corps fini de 2" 
elements, E(F2" )est le sous-groupe d'une courbe elliptique E, defini par : 

E(F2") = {(x,y)e F2" X F2" |y^ + xy = x^ + ax^ + p} ^ {O} a. p e F2", P ^ 0 
et E[2''] est I'ensemble des points P de ladite courbe elliptique tels que P, 
additionne 2" fois a lui meme donne I'element neutre O, avec k entier superieur 
ou egal a 1, caracterise en ce qu'un point P = (x.y) de ladite courbe elliptique 



donne par ladite division par deux le point 



P = (u„, 7.0) 



avec /-o = Uo + Vo/Uo obtenu en effectuant les operations suivantes : 

• on cherche une premiere valeur Xo telle que + >^o = o. + x 

• on calcule une seconde valeur Uo^ telle que : u,,^ = x {k„ + 1 ) + y 

. si k vaut 1, on cherche si I'equation : =a^+Uo^ a des solutions dans 

F2". 

• dans I'affirmative on calcule ladite division par deux par : 
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et 



P = (Uo, K.) 



o dans la negative, on ajoute x a ladite deuxieme valeur u,,^ et on ajoute 1 a 
ladite premiere valeur Ao pour calculer ladite division par deux comme dans 
Toperation precedente ; 
5 o si k est plus grand que 1 , on effectue un calcul iteratif consistent a : 
chercher une valeur x i , telle q\jeA\^ + X\ = a + Uj.i 
puis calculer la valeur Ui^ telle que Uj^ = Ui.i {^i + h,^ + Uj.i +1 ) 
en incrennentant i a partir de i = 1 jusqu'a obtenir la valeur u^ k-i 
o on cherche si Tequation + >u = + u\.i a des solutions dans F2n 
10 o dans raffirmative on calcule ladite division par deux par : 



P = (Uo, K.) 



o dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 

ladite premiere valeur pour calculer ladite division par deux comme dans 

Toperation precedente. 
15 4. Precede salon la revendication 1 ou : 

F2" est un corps fini de 2"^ elements, E(F2") est le sous-groupe d*une courbe 

elliptique E, defini par : 

E(F2") = {(x,y)e F2" X F2" + xy = x^ + ax^ + P} u {O} a, (3 e Fs". (3^0 

et E[2^] est Tensembie des points P de ladite courbe elliptique tels que P, 
20 additionne 2^ fois a lui meme donne Telement neutre O avec k entier superieur 

ou egal a 1, caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 

represents par (x,?.p) avec /.p = x + y/x donne par ladite division par deux le point 

^ P = (Uo. Vo) de ladite courbe elliptique obtenu en effectuant les operations 
suivantes : 

25 ® on cherche une premiere valeur Xa telle que Xo^ + /v.o = a + x 

o on calcule une seconde valeur Uo^ telle que : Uo^ = x {Xo + X^ + x +1 ), 
o si k vaut 1, on cherche si Tequation : x =a^+Uo^ a des solutions dans 
F2". 

fi* — dans raff i rmative on ca l cu l e ladite d i vision par deux par : 
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Vo = Uo (Uo + Ao) 

P = (Uo. Vo) 



et 



• dans la negative, on ajoute x a ladite deuxieme valeur Uo et on ajoute 1 a 
5 ladite premiere valeur /.o pour caiculer ladite division par deux comme dans 

Toperation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeurA i . telle queA + /.i = a + Um 

puis caiculer la valeur Uj^ telle que Ui^ = Ui.^ {h + h.^ + Uj-i +1 ) 
10 en incrementant i a partir de i =1jusqu'a obtenir la valeur u^ k-i 

• on cherche si I'equation + X = o.^ + uVi a des solutions dans F2" dans 
I'affirmative on calcule ladite division par deux par : 



u„= V"o^ 

Vo = Uo (Uo + Xo) 

15 et - P = (Uo, Vo) 

L2J 

• dans la negative, on ajoute x a ladite deuxieme valeur u.,^ et on ajoute 1 a 
ladite premiere valeur Xo pour caiculer ladite division par deux comme dans 

I'operation precedente. 

5. Precede selon la revendication 1 ou : F2' est un corps fini de 2" 
20 Elements, E(F2") est le sous-groupe d'une courbe elliptique E, defini par : 

E(F2") = {(x,y)e F2" X F2" + xy = x^ + ax^ + p} u {O} a. p e F2". P ^ 0 
et E[2''] est I'ensemble des points P de ladite courbe elliptique tels que P. 
additionne 2" fois a lui meme donne I'element neutre O. avec k entier superieur 
ou egal a 1, caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 
25 represente par (x.Xp) avec /.p = x + y/x donne par ladite division par deux le point 



P = (u,„ Vo) de ladite courbe elliptique represente par 
(Uo, /.o). avec /h) = Uo + Vo/Uo . obtenu en effectuant les operations suivantes : 
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on cherche une premiere valeur Ao telle que kJ' + >.o = oc + x 

on calcule une seconde valeur Uo^ telle que : u,,^ = x (Ao + /-p + x +1 ), 

si k vaut 1, on cherche si Tequation : A ^+/. =a^+Uo^ a des solutions dans 

F2". 

dans raffirmative on calcule ladite division par deux par : 



et 



P = (Uo, K) 



o dans la negative, on ajoute x a ladite deuxieme valeur u,,^ et on ajoute 1 a 
ladite premiere valeur X,, pour calculer ladite division par deux comme dans 

10 Toperation precedente; 

o si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 

chercher une valeur A j , telle que A + 7m = a + Um 

puis calculer la valeur Uj^ telle que Ui^ = Uj.i + u\.^ +1) 

en incrementant i a partir de i = 1 jusqu'a obtenir la valeur u^ k-i 

15 o on cherche si I'equation }>? -^X- a? u Vi a des solutions dans F2" 
o dans raffirmative on calcule ladite division par deux par : 



et 



P = (Uo. Ao) 



o dans la negative, on ajoute x a ladite deuxieme valeur Uo^ et on ajoute 1 a 
20 ladite premiere valeur pour calculer ladite division par deux comme dans 
Toperation precedente. 

6. Procede selon Tune des revendications precedentes, caracterise en ce 
qu'il s'agit d'un protocole de construction d'une clef commune a partir de deux 
clefs secretes appartenant respectivement aux deux entites precitees et d'une 

25 clef publique constituee par un point P d'ordre impair r d'une courbe elliptique E 
choisie et non supersinguliere. 

7. Procede selon la revendication 6, caracterise en ce que, de fagon 
connue en soi, a et b etant les clefs secretes d*une premiere et d'une seconde 

enlites, respecliverneni — — 
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- la premiere entite calcule la multiplication scalaire [a]P et envoie le point 
resultat a la seconde entite, 

- la seconde entite calcule la multiplication scalaire [b]P et envoie le point 
resultat a la premiere entite. 

- les deux entites calculent respectivement un point commun C = (x,y) de 
ladite courbe elliptique (E) en effectuant respectivement les multiplications 
scalaires [a] ([b]P) et [b] ([a]P). toutes deux egales a [a.b]P. 

- les deux entites choisissent comme clef commune la coordonnee (x) 
dudit point commun (C) obtenu par ladite multiplication scalaire [a.b]P. au moins 
rune des multiplications scalaires precedentes, et de preference toutes, etant 
effectuee a I'aide de divisions par deux predefinies. 

8. Procede selon Tune des revendications 1 a 5, caracterise en ce qu'il 
s'agit d'un protocole de signature entre deux entites a partir d'une paire de clefs 
permanentes appartenant a I'une des entites, I'une secrete (a) et Tautre publique 
(Q), resultant de la multiplication scalaire de la clef secrete (a) par une autre clef 
publique constituee par un point (P) d'ordre impair r d'une courbe elliptique (E) 
choisie et non supersinguliere. 

9. Procede selon la revendication 8, caracterise par les operations 

suivantes : 

- la premiere entite (A) possedant ladite paire de clefs permanentes 
construit une paire de clefs a utilisation unique, I'une (g) etant choisie 
arbitrairement et I'autre [g]P resultant d'une multiplication scalaire de ladite clef 
(g) choisie arbitrairement par le point P public de ladite courbe elliptique, les 
coordonnees de cette clef ([g]P) etant notees (x,y) avec 2 < g < r-2, 

- la premiere entite (A) convertit le polynome x de ladite clef a utilisation 
unique [g]P = (x,y) en un entier i dont la valeur binaire est representee par la 
sequence des coefficients binaires dudit polynome x, 

- ladite premiere entite (A) calcule une signature (c,d) du message (M) de 
la fagon suivante : 

c = i modulo r 

d = g'^ (M + ac) modulo r, 

- ladite premiere entite envoie ledit message (M) et ladite signature (c, d) 
a la seconde entite ; a recept i on 
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- ladite seconde entite (B) vehfie si les elements de ladite signature (c.d) 
appartiennent chacun a Tintervalle [1, r-1], 

- dans la negative, declare la signature non valide et stoppe. 

- dans raffirmative, ladite seconde entite (B) calcule trois parametres : 
5 h = d*'' modulo r 

hi = Mh modulo r 
h2 = ch modulo r 

- ladite seconde entite calcule un point T de ladite courbe elliptique par la 
somme des multiplications scalaires des points P et Q par les deux derniers 

10 parametres cites : 

T = [hi] P + [h2] Q 

si le point resultant T est {'element neutre, ladite seconde entite declare la 
signature non valide et stoppe. 

sinon, considerant le point T de coordonnees et y' : T = (x',y'), 
15 - ladite seconde entite (B) convertit le polynome x' de ce point en un entier 

i' dont la valeur binaire est representee par la sequence des coefficients binaires 
dudit polynome x', 

-ladite seconde entite (B) calcule c* = iV modulo r et. 

- verifie que c* = c pour valider ladite signature ou Tinvalider dans le cas 
20 contraire. au moins une operation de multiplication scalaire precitee et. de 

preference toutes. etant effectuee a Taide de divisions par deux predefinies. 

10, Precede selon la revendication 7 ou 9. caracterise en ce qu'une 
multiplication scalaire precitee utilisant des divisions par deux est obtenue par 
les operations suivantes : 
25 - si ledit scalaire de la multiplication est note S. on choisit m+1 valeurs 

So... Sm e {0.1} pour definir S par : 

r etant Tordre impair precite et m etant rentier unique compris entre 
log2(r) - 1 et log2(r), 

30 on calcule la multiplication scaJaire [S]P d'un point P de ladite courbe 

elliptique par le scalaire S par application d'un algorithme consistant a 



25 

determiner la suite de points (Qm*i, Qm-.-. Qi- -. Qo) de ladite courbe elllptlque E 
telle que : 

Qm+1 = O (element neutre) 



Qi = [Si]P + 



Q i+ 1 avec o < i < m 



le calcui du dernier point Qo de ladite suite donnant le resultat [S] P de 
ladite multiplication scalaire. 



